Hace solo unos días, el Consejo de Ministros aprobaba la remisión a las Cortes Generales del Proyecto de Ley Orgánica de Protección de Datos que adaptará la legislación española a las disposiciones del Reglamento homónimo (RGPD) de 2016. Las empresas españolas tienen que prepararse para su adaptación a esta norma, que será de aplicación a partir del próximo 25 de mayo de 2018.
El nuevo Reglamento nace con el objetivo de facilitar la adaptación de la protección de datos a la rápida evolución tecnológica y los fenómenos derivados de la globalización y el desarrollo de la sociedad de la información. Con este fin, introduce cambios significativos que las pequeñas, medianas y grandes empresas deberán tener en consideración a la hora de recoger y tratar los datos de sus clientes, proveedores y colaboradores.
En el caso concreto de España, donde la protección de datos es un derecho fundamental protegido por el artículo 18.4 de la Constitución, el nuevo Reglamento recoge novedades tanto en el régimen de consentimiento como en el de los tratamientos y surgen nuevas figuras y procedimientos. Entre las novedades:
– Se adelanta a los trece años la edad de consentimiento para el tratamiento de datos, en consonancia con la normativa de otros países de nuestro entorno.
– Se toma en cuenta el tratamiento de los datos correspondientes a personas fallecidas en base a la solicitud de sus herederos.
– Se incorpora el principio de transparencia en cuanto al derecho de los afectados a ser informados sobre el tratamiento de sus datos y se contemplan de forma expresa los derechos de acceso, rectificación, supresión, derecho a la limitación del tratamiento, así como a la portabilidad y oposición.
– Se mantiene la prohibición de almacenar datos de especial protección, como ideología, afiliación sindical, religión, orientación sexual, origen racial o étnico y creencias.
– Se potencia la figura del delegado de protección de datos, persona física o jurídica cuya designación ha de ser comunicada a la autoridad competente y que mantendrá relación con la Agencia Española de Protección de Datos (AEPD).
– Se promueve la existencia de mecanismos de autorregulación, tanto en el sector público, como en el privado, y se introduce la obligación de bloqueo que garantiza que los datos queden a disposición de un tribunal, el Ministerio Fiscal u otras autoridades competentes, como la AEPD, para la exigencia de posibles responsabilidades derivadas de su tratamiento, evitando así que se puedan borrar para encubrir el incumplimiento.
¿Cómo pueden las empresas afrontar estos cambios? Esta es nuestra propuesta:
PLAN DE ADAPTACIÓN AL RGPD EN 7 PASOS
Las empresas españolas tendrán que elaborar y desarrollar un plan de actuación a la hora de abordar los cambios regulatorios en el que deben colaborar diferentes departamentos de la empresa. En este caso, como mínimo, deberían estar representantes de diferentes áreas de la empresa como los departamentos jurídico, de marketing, IT, recursos humanos y dirección —es decir, todas aquellas áreas que estén implicadas en el tratamiento de datos—.
Asimismo, como cualquier otro plan debe ser realizado de una forma sistemática, documentada, mediante evidencias, y tener carácter revisable.
Para su realización será de gran utilidad la documentación existente en la empresa. En particular, la relación de ficheros inscritos en el Registro de la Agencia Española de Protección de Datos; el documento de seguridad donde se describen las medidas de seguridad existentes; y los contratos con proveedores que traten los datos de los usuarios.
Un plan de actuación de este tipo se puede estructurar en 7 actuaciones básicas:
– mapeo de los datos y tratamientos que se realizan;
– identificación de la legitimación del tratamiento o la causa que nos permite tratar los datos;
– información de los usuarios;
– atención a los derechos de los usuarios;
– control de las relaciones entre el responsable y el encargado del tratamiento de datos;
– medidas de responsabilidad proactiva; y
– transferencias internacionales de datos.
1. Mapeo de los datos que se tratan
Esta primera fase tiene como objetivo el conocimiento. La actividad que se desarrolla dentro de ella se debe centrar en conocer y realizar un análisis de los datos que se tratan:
– De qué categoría de datos se trata, es decir, sin son datos de identificación, sociodemográficos, de comportamiento, de salud, etc.
– Cuáles son los tratamientos o procesos que se realizan con los datos.
– Dónde están los datos.
– Quién tiene acceso a esos datos de dentro y de fuera de la empresa.
– Para qué se tratan esos datos o qué utilidad tienen para la empresa.
2. Legitimación del tratamiento
Esta segunda fase consiste en estudiar e identificar cuál es el elemento o causa que permite tratar los datos. El Reglamento no aporta ninguna novedad esencial sobre este aspecto. Los motivos por lo que se pueden tratar los datos siguen siendo los mismos que los contemplados en la actual normativa de protección de datos.
Los datos de los usuarios únicamente se van a poder tratar cuando:
– los usuarios hayan dado su consentimiento;
– sea necesario para realizar lo que ha solicitado el usuario o cliente —por ejemplo, para enviar el pedido, prestar el servicio, usar la app o para atender la consulta que nos han realizado, para participar en una promoción…—;
– sea necesario para proteger un interés vital de los usuarios;
– sea necesario para dar cumplimiento a una obligación legal;
– sea necesario para el cumplimiento de un interés público; o
– la empresa tenga un interés legítimo que prevalece sobre el derecho de los usuarios, como por ejemplo enviar publicidad de los productos de la empresa en determinadas circunstancias, lo cual exige la realización de una valoración y estudio documentado.
No obstante, el nuevo Reglamento sí que supone un cambio importante con respecto al consentimiento. El Reglamento establece que dicho consentimiento debe ser manifestado a través de una declaración positiva, como puede ser a través de una casilla no pre-marcada. No cabe el consentimiento tácito; es decir, cuando el tratamiento no se fundamente en ninguno de los otros supuestos será necesario obtener el consentimiento expreso del usuario.
3. La obligación de información a los usuarios
Esta es una obligación que afecta especialmente a los responsables del tratamiento de los datos.
Esta obligación no es una novedad en sí misma, puesto que ya está presente en la actual normativa. Sin embargo, se introducen algunos matices sobre el contenido y la forma en que debe facilitarse la información a los usuarios.
Sobre la forma, el Reglamento dice que se debe facilitar la información a los usuarios de manera concisa, transparente, inteligible, con un lenguaje claro y sencillo.
Con respecto al contenido, el Reglamento añade una serie de nuevas cuestiones sobre las que hay que informar:
– la base jurídica sobre la que se realiza el tratamiento,
– la existencia y datos de contacto del delegado de protección de datos,
– la posibilidad de presentar reclamaciones ante la Agencia Española de Protección de Datos, y
– el plazo durante el que se van a tratar los datos.
4. Atención de los derechos de los interesados
Tampoco se puede decir que esta materia sea una completa novedad, aunque es cierto que reformula y matiza los derechos ya existentes y crea nuevos derechos como puede ser el derecho al olvido o de supresión, el derecho a la limitación del tratamiento y el derecho a la portabilidad de datos.
Como novedades, el Reglamento establece que el plazo para atender los derechos es de un mes máximo, que puede prorrogarse hasta dos meses según las circunstancias y de forma justificada, y que la atención a los derechos debe ser gratuita, aunque se prevé que se pueda solicitar un pago en determinadas ocasiones, como en el que caso que la solitud sea repetitiva.
5. Las relaciones entre el responsable y el encargado del tratamiento de los datos
En esta fase será necesario analizar las relaciones entre la empresa y todos aquellos proveedores que, como consecuencia de la prestación de un servicio a la empresa, tratan los datos de los usuarios, por lo que desde el punto de vista de la protección de datos se les considera como encargados de tratamiento.
Sobre estas relaciones se puede decir que el reglamento respeta la situación actual, pero introduce algunos matices importantes.
El Reglamento impone a los encargados y subencargados obligaciones que les son aplicables directamente, como:
– mantener un registro de actividades de tratamiento;
– determinar las medidas de seguridad aplicables a los tratamientos;
– designar a un Delegado de Protección de Datos en los casos que sea necesario; y
– colaborar con la Autoridad de control.
También impone a los responsables actuar con diligencia a la hora de seleccionar a los proveedores que actúan como encargados o subencargados, de forma que solo puedan contratar a aquellos que sean capaces y puedan demostrar que cumplen con el Reglamento ofreciendo las garantías necesarias o a través de certificados o adhesiones a códigos de conducta.
También recoge la obligación de que las relaciones entre los responsables y los encargados se formalicen por escrito y enumera el contenido mínimo que debe tener este documento. Por ello, se hace necesario revisar los acuerdos que existan entre responsables y encargados con la finalidad de verificar si tienen ese contenido mínimo y adaptarlos en su caso.
6. Medidas de responsabilidad proactiva
Una gran novedad del Reglamento con respecto a la normativa actual es la serie de medidas de carácter técnico y organizativo que incluye y que se han denominado de responsabilidad proactiva.
De acuerdo con la normativa actual, existe un catálogo de medidas de seguridad que las empresas deben adoptar en función de si los datos se califican como de nivel bajo, medio o alto. Sin embargo, a partir de mayo de 2018, las empresas deberán demostrar que actúan de forma diligente cada vez que vayan a desarrollar un tratamiento de datos —por ejemplo, cuando vayan a desarrollar una web, una app, un dispositivo Iot, contratar un nuevo software a nuevo proveedor o desarrollar una promoción, entre otras—.
Para ello tendrá que llevar a cabo distintas acciones:
1. En primer lugar, un análisis de riesgo documentado sobre cuál es el impacto que tiene sobre la protección de datos, el tratamiento que se va a realizar. Para valorar el grado de riesgo hay que tener en cuenta:
– qué tipo de datos se tratan —si son datos sensibles sobre salud, opiniones políticas, creencias, etc.;
– qué volumen de datos se trata —si se refieren a una gran cantidad de personas o un % elevado de la población—;
– si se realizan perfiles o segmentación de los datos;
– si se cruzan o enriquecen los datos obtenidos de los usuarios con otros datos o información; y
– si se están utilizando técnicas de seguimiento de comportamiento de los usuarios a través de cookies o, por ejemplo, de dispositivos móviles.
Según el tipo de respuesta que demos a estas preguntas el tratamiento de datos será de mayor o menor riesgo.
2. En segundo lugar, en función del riesgo determinado, será necesario adoptar una serie de medidas con objeto de minimizar o eliminar los riesgos detectados, que son principalmente:
– llevar un registro de actividades de tratamiento actualizado;
– adoptar medidas de protección de datos desde el diseño y por defecto;
– implementar medidas de seguridad técnicas y organizativas para asegurar la integridad y confidencialidad de la información;
– nombrar a un delegado de protección de datos cuando se realicen tratamientos de datos a gran escala o se realice una observación habitual y sistemática de los interesados, por ejemplo, a través de cookies;
– realizar una evaluación de impacto, para lo cual será necesario realizar un estudio exhaustivo sobre qué tipo de datos se tratan, quién tiene acceso a los datos, dónde se almacenan, etc., para, a continuación, valorar el riesgo y establecer medidas que puedan mitigarlo o eliminarlo;
– llevar a cabo consultas previas a la Autoridad según los casos; y
– notificar los incidentes de seguridad a la autoridad de control y a los usuarios cuando la incidencia pueda suponer un alto riesgo.
7. Las transferencias internacionales de datos
Finalmente, es necesario revisar si se está realizando algún tipo de transferencia de datos a países de fuera del Unión Europea y, en su caso, ver si se está haciendo con las garantías necesarias:
– a través de un contrato que contengan las cláusulas tipo aprobadas por la Comisión Europea;
– a través del acuerdo de Privacy Shield —si existe un acuerdo con ese país como ocurre con Estados Unidos—; o
– corroborando que el país al que se transfieren los datos está reconocido como un país que ofrece un nivel de protección de datos similar al de la Unión Europea.
Si no concurre ninguna de estas situaciones sería necesario solicitar autorización a Agencia Española de Protección de Datos.
Fuente: Adigital